Azure AD Seamless SSO - msDS-SupportedEncryptionTypes - 27.11.2022
von Thomas Windscheif / Microlinc
Seamless SSO Verschlüsselung
Standardmäßig definiert Azure AD Connect bei Aktivierung der Seamless SSO Funktion die Schlüsselstärke für die Kerberos-Token nicht. Da ich den Wert jedes Mal suche ;) hier nun nochmal in dokumentierter Form:
Der Wert wird bei dem Attribut "msDS-SupportedEncryptionTypes" des Computerobjekts "AZUREADSSOACC" angepasst:
| Eingabewert | Verschlüsselung |
| 16 | AES 256 |
| 24 | AES 128 und AES 256 |
siehe auch https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797
Nach dem Setzen wird ein Rollover des Keys empfohlen:
siehe https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key-of-the--azureadsso--computer-account-
Zusammenfassung:
- cd $env:programfiles"\Microsoft Azure Active Directory Connect"
- Import-Module .\AzureADSSO.psd1
- Anmelden als Globaler Administrator im Azure AD Tenant:
New-AzureADSSOAuthenticationContext - Domänenadministrator-Credentials hinterlegen:
$DomAdminCredentials = Get-Credential - Update-AzureADSSOForest -OnPremCredentials $DomAdminCredentials
Das Ergebnis lässt sich je nach Client prüfen, in dem man zunächst via "klist purge" die aktuellen Token löscht und nach Aufruf einer M365-Ressource nochmals via klist prüft ob unter "KerbTicket (Verschlüsselungstyp):" die entsprechende Verschlüsselung genutzt wird.